DNSSEC добавляет криптографическую проверку DNS. Это может защитить DNS-ответы от подмены, но если DS-записи у регистратора не совпадают с DNS-зоной, домен может перестать резолвиться у пользователей, чьи резолверы проверяют DNSSEC.
Когда DNSSEC полезен
- У проекта повышенные требования к безопасности.
- Вы аккуратно управляете DNS и понимаете ротацию ключей.
- Ваш DNS-провайдер полностью поддерживает DNSSEC и выдает корректные DS-записи.
Когда нужно быть осторожным
| Ситуация | Риск |
|---|---|
| Смена DNS-провайдера | Старые DS-записи могут указывать на ключи, которых уже нет. |
| Смена NS-серверов | DNSSEC нужно отключить или обновить до/во время смены. |
| Ручное копирование DNS-зоны | Записи можно скопировать, но ключи DNSSEC нет. |
| Сайт работает не у всех | Валидирующие резолверы могут отвергать сломанный DNSSEC. |
Безопасное правило
Если вы осознанно не используете DNSSEC, не добавляйте DS-записи у регистратора. Если DS-записи уже есть и вы переносите DNS к другому провайдеру, обновите или удалите DS по инструкции нового провайдера.
Сломанный DNSSEC выглядит как загадочная DNS-проблема
Пришлите домен и информацию, включены ли DS-записи. Поможем проверить, не DNSSEC ли мешает пользователям открыть сайт.
Проверить DNSSEC/DS